Üniversitenin Öğrenci E-Postasına Duyuru Göndermesi: 2023/938 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 01/06/2023 tarihli ve 2023/938 sayılı kararı ile üniversitelerin öğrencilerine tahsis ettikleri kurumsal e-posta adresleri üzerinden yaptıkları toplu duyuru ve bilgilendirme faaliyetlerinin hukuki sınırlarını belirlemiştir. Bu karar, “kurumsal e-posta adresi kişisel veri midir?” ve “üniversite her istediğini gönderebilir mi?” sorularına yanıt vermektedir.
Olayın Özeti: “İstemediğim E-Postaları Almak Zorunda mıyım?”
Bir üniversite öğrencisi, okulun kendisine tahsis ettiği kurumsal e-posta adresine ilgi alanı dışındaki duyuruların, etkinliklerin ve idari bilgilendirmelerin günlük olarak gönderilmesinden şikayetçi olmuştur. Öğrenci, listeden çıkmak için defalarca başvurmasına rağmen talebinin reddedildiğini ve e-posta adresinin rızası dışında işlenmeye devam ettiğini belirtmiştir.
Üniversitenin Savunması: “Bu Bizim İç İletişimimiz ve Güvenlik Gereği”
Üniversite yönetimi savunmasında özetle şunları belirtmiştir:
- Kurumsal Aidiyet: E-postalar şahsi adrese değil, üniversitenin tahsis ettiği
edu.truzantılı kurumsal adrese gönderilmektedir. - Meşru Amaç: Gönderilen içerikler eğitim süreçleri, akademik duyurular, kampüs gelişmeleri, iş sağlığı ve güvenliği ile bilgi güvenliği gibi öğrencinin öğretim hakkıyla doğrudan ilgili konuları kapsamaktadır.
- Operasyonel Risk: Öğrencilerin bu listeden çıkarılmasının akademik işleyiş ve güvenlik bilgilendirmeleri açısından risk oluşturacağı değerlendirilmiş, bu nedenle talepler reddedilmiştir.
Kurulun Hukuki Değerlendirmesi
Kurul, uyuşmazlığı KVKK’nın temel ilkeleri ve işleme şartları çerçevesinde şu şekilde çözümlemiştir:
- Kurumsal E-Posta Kişisel Veridir: E-posta adresinin üniversite tarafından tahsis edilmiş olması, o verinin “kişisel veri” olma niteliğini değiştirmez. Çünkü bu adres belirli veya belirlenebilir bir gerçek kişiye (öğrenciye) ilişkindir.
- Meşru Menfaat Dengesi: Üniversitenin, öğrencilerini akademik ve idari süreçler hakkında bilgilendirmesi, eğitim faaliyetlerinin sağlıklı yürütülmesi açısından bir zorunluluktur. Bu durum, KVKK Madde 5/2-f uyarınca “Veri sorumlusunun meşru menfaatleri” kapsamında değerlendirilmiştir.
- Aydınlatma Eksikliği: Her ne kadar veri işleme faaliyeti (e-posta gönderimi) yasal bir sebebe (meşru menfaat) dayansa da, üniversitenin bu işlemi yapacağını öğrencilerine açıkça bildirmesi gerekir.
Karar Sonucu: “İşlem Hukuka Uygun Ancak Aydınlatma Eksik”
Kurul inceleme neticesinde;
- Üniversitenin öğrencilere duyuru yapmasının “meşru menfaat” kapsamında olduğu, dolayısıyla bu aşamada Kanun kapsamında cezai bir işlem yapılmasına yer olmadığına,
- Ancak üniversitenin, aydınlatma metnini güncelleyerek “kurumsal e-posta adresi üzerinden duyuru ve bilgilendirme yapılacağı” hususuna açıkça yer vermesi gerektiğine ve bu konuda üniversitenin talimatlandırılmasına karar vermiştir.
Özgür Eralp Perspektifi: “Kurumsal Adres, Kurumsal İletişim İçindir”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, kurumsal e-posta adreslerinin kullanımı konusunda ciddi kafa karışıklıkları olduğunu görüyoruz. Kurul bu kararıyla; “Adres benim olsa da verinin öznesi insandır” diyerek kurumsal e-postayı koruma altına almış; ancak “Eğitim kurumu, öğrencisine ulaşabilmelidir” diyerek de kurumun işleyiş hakkını korumuştur.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Üniversiteler, “Zaten benim verdiğim adres, istediğimi yollarım” diyemezler. Duyuruların kapsamı eğitim ve kampüs yaşamı ile sınırlı kalmalıdır. Eğer bu adresler üzerinden ticari reklam veya üçüncü taraf tanıtımları yapılırsa, “meşru menfaat” dengesi bozulur ve ağır para cezaları gündeme gelir. Öğrenciler için ise tavsiyem; kurumsal e-postalarını bir “resmi tebligat kanalı” gibi görmeleri ve gereksiz gördükleri içerikler için e-posta istemcilerindeki “filtreleme” özelliklerini kullanmalarıdır.
Sıkça Sorulan Sorular
1. Üniversite kurumsal e-postamı istediği her şey için kullanabilir mi?
Hayır. Sadece akademik faaliyetler, idari duyurular, kampüs güvenliği ve eğitim süreçleri gibi üniversite yaşamıyla doğrudan ilgili konularda “meşru menfaat” kapsamında kullanabilir. Reklam veya pazarlama amaçlı kullanımlar için açık rızanız gerekir.
2. Listeden çıkma talebim neden reddediliyor?
Üniversiteler, sınav tarihleri veya güvenlik uyarıları gibi hayati bilgileri size ulaştıramama riskini (sorumluluğunu) almamak için bu listelerden çıkmanıza izin vermeyebilirler. Kurul bu durumu “meşru menfaat” olarak görmüştür.
3. Aydınlatma metni güncellenmezse ne olur?
Üniversite, Kurul’un talimatına uymazsa Kanun’un 18. maddesi uyarınca idari yaptırımlarla veya kamu görevlileri hakkında disiplin süreçleriyle karşılaşabilir.
4. Kendi kişisel (Gmail/Hotmail vb.) adresime de bu mailler gelirse ne yapmalıyım?
Eğer üniversiteye o adresi “duyuru almak için” vermediyseniz, kişisel adresinize gelen toplu duyurular için şikayet hakkınız daha güçlüdür. Kurumsal adres ile kişisel adresin ayrımı bu kararın temel noktasıdır.
5. Kurumsal e-posta adresimin şifresini üniversite görebilir mi?
Teknik olarak sistem yöneticileri belirli yetkiler dahilinde erişim sağlayabilir ancak bu durum sadece bilgi güvenliği ve yasal zorunluluklar çerçevesinde yapılabilir. Keyfi bir izleme kişisel verilerin korunması ve özel hayatın gizliliği ihlalidir.
Kaynaklar
- KVKK Kurumu – 2023/938 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 5, 10, 12)
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
- Bilgi Güvenliği Politikaları ve Rehberleri
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),